WO2006101194A1

WO2006101194A1 - アクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラム

Info

Publication number: WO2006101194A1
Application number: PCT/JP2006/305957
Authority: WO
Inventors: Satoshi Hieda
Original assignee: Nec Corporation
Priority date: 2005-03-24
Filing date: 2006-03-24
Publication date: 2006-09-28
Also published as: US20090055840A1; JPWO2006101194A1; EP1873678A1; EP1873678A4; US8336059B2; JP4853671B2

Abstract

第１の問題点は、要求元ＯＳ上で実行されているサブジェクトの情報を、要求先ＯＳから参照できないことである。第２の問題点は、要求元ＯＳ上で実行されているサブジェクトの情報をもとに、要求元ＯＳ上でアクセス権限判定ができないことである。要求元ＯＳ上のアクセス主体であるサブジェクトが、要求先ＯＳ上のアクセス対象であるオブジェクトへアクセス要求を出す時に、要求先ＯＳからサブジェクトのサブジェクト情報を取得することで、もしくは、そのアクセス要求の中にサブジェクト情報を追加することで、もしくは、要求元ＯＳ上で実行サブジェクトの切り替えが起こる時に、切り替え後のサブジェクト情報を要求先ＯＳに通知することで、前記要求元ＯＳ上で実行されているサブジェクトの権限に応じて、アクセス権限判定を行う。

Description

明細書

アクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラム

技術分野

[0001] 本発明はアクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラムに関し、特に異なる OS間において、アクセス要求元 OSとアクセス要求先 OSで間のアクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラムに関する。背景技術

[0002] 複数の情報処理装置がネットワークで接続されて、る環境にぉ、て、 NFS (Netw ork File System)や Sambaなどを介し、異なる OS (Operating System)間で、アクセス要求を実行することができる。

[0003] ここでいうアクセス要求とは、アクセス主体であるサブジェクト（プロセスやスレッドなど）力オブジェクト（ファイル、ディレクトリ、ヒープ、スタック、セマフォ、 FIFO (First -In First -Out)、メッセージ、共有メモリ、ソケットなどのコンピュータ資源）に対してアクセスすることである。

[0004] つまり、上記の環境で例えると、 1台の情報処理装置に Windows (登録商標）がィンストールされ、別の情報処理装置に Linuxがインストールされている環境では、 Wi ndows (登録商標）上のプロセスが、 Sambaを介し Linux上のファイルにアクセスすることがでさる。

[0005] また、 1台の情報処理装置であっても、その中で仮想マシン環境を構築することで、ゲスト OSとホスト OS間で、アクセス要求を実行することができる。

[0006] 例えば、 UML (User— mode Linux)環境において、 UML上で実行されているプロセスから、ホス

ト Linuxのファイルに対して、 Host Filesystemを介して、ファイルアクセスすることができる。

[0007] し力し、この異なる OS間でのアクセス要求を利用して、要求元 OS上のサブジェクトから、要求先 OS上のリソースに対する不正アクセスがなされると、要求先 OSが正常に動作しなくなってしまう可能性がある。

[0008] 例えば、 UML環境にお!、て、 UML上で動作するプロセスがホスト Linux上のシステムファイルを不正に改ざんすることで、ホスト Linuxが正常に動作しなくなってしまう可能性がある。

[0009] こうした問題を解決するために、要求元 OS上のサブジェクトから、要求先 OS上のオブジェクトに対するアクセス要求を検証できるアクセス権限判定システムが必要とされており、特に、以下の 3つの用件を満たすアクセス権限判定システムが求められている。

[0010] 第 1の要件として、要求元 OS上で動作するサブジェクトの権限の種類に応じて、ァクセス権限判定を行うことができるアクセス権限判定システムが求められている。

[0011] 例えば、要求元 OS上のシステム管理者権限で実行されるプロセスには、要求先 O S上の数多くのファイルに書き込みすることができるよう権限設定ができ、また、要求元 OS上の一般ユーザ権限で実行されるプロセスには、わずかなファイルの読み込みだけを許可するよう権限設定ができるようなアクセス権限判定システムが求められている。

[0012] 第 2の要件として、要求先 OSには、セキュリティ対策としてすでにアクセス権限判定システムがインストールされていることが多いため、その要求先 OS上のアクセス権限判定システムを活用し、わずかな改造をカ卩えるだけで、要求元 OSからのアクセス要求にも対応できるアクセス権限判定システムが求められている。

[0013] 第 3の要件として、要求元 OS上の全てのサブジェクトに関して、アクセス権限判定が行えるアクセス権限判定システムが求められている。

[0014] 要求元 OS上のサブジェクトから、要求先 OS上のオブジェクトに対するアクセス要求において、必ず全てのアクセス要求について、そのアクセス権限判定が行われる必要がある。

[0015] これに対し、従来、この種のアクセス権限判定システムは、 1つの OS内でサブジエタトからオブジェクトに対する不正アクセスを禁止するため、例えば、特許文献 1、非特許文献 1に示されるように、サブジェクトがオブジェクトにアクセスする時に、 OS内部で、あら力じめ用意されたアクセスポリシをもとに、そのアクセスが有効であるかどうかを検証し、許可されたアクセスだけを実行し、不許可のアクセスは実行しないことにしている。

[0016] このアクセス権限判定システムは、上記の第 3の用件を満たしている。

[0017] また、従来、この種のアクセス権限判定システムは、複数の OS間でサブジェクトからオブジェクトに対する不正アクセスを禁止するため、例えば特許文献 2に示されるように、 OS間の通信部分に、別途アクセス権限判定手段 207と、アクセスポリシを用意し、要求元 OS上のサブジェクトが要求先の OS上のオブジェクトにアクセスする時に、アクセス権限判定手段 207で、アクセスポリシをもとに、そのアクセスが有効であるかどうかを検証し、許可されたアクセスだけを実行し、不許可のアクセスは実行しないことにしている。

[0018] このアクセス権限判定システムは、上記の第 1、第 3の要求を満たしている。

[0019] また、従来、この種のアクセス権限判定システムは、 Linux向け仮想マシン環境である UML (User— mode Linux)において、 UML上のユーザから Host Filesyst emのファイルに対する不正アクセスを禁止するため、例えば、非特許文献 2に示されるように、 UML上のユーザが Host Filesystem上のファイルにアクセスする時、ァクセス対象のファイルのパーミッションを検証し、パーミッションに合うアクセスだけを実行し、合わな、アクセスは実行しな、ことにして！/、る。

[0020] このアクセス権限判定システムは、上記の第 2の要求を満たしている。

特許文献 1 :特開 2002— 149494号公報

特許文献 2：特開 2003 - 345654号公報

特干文献 1： Security— Enhanced Linux URL:http:// www.nsa.gov/selinux/ 特干文献 2 : The User-mode Linux Kernel HomePage URL http://user— mode— iinu x . s ourceforge .net/

発明の開示

発明が解決しょうとする課題

[0021] 第 1の問題点は、要求元 OS上で実行されているサブジェクトの情報を、要求先 OS から参照できな!ヽことである。 [0022] その理由は、要求元 OS上で実行されているサブジェクトの情報は、全て要求元 OS 内で管理されて、るからである。

[0023] 例えば、 UMLを Linux上で起動した場合、 UML上で複数のプロセスを実行していても、そのプロセス情報は全て UMLカーネル内で管理されており、要求先 OSの L inuxからはそれぞれのプロセス情報を直接参照できない。

[0024] 第 2の問題点は、要求元 OS上で実行されているサブジェクトの情報をもとに、要求元 OS上でアクセス権限判定ができないことである。

[0025] その理由は、第 1の問題点の理由と同じである。

[0026] 第 3の問題点は、要求元 OS上で実行されているサブジェクトの情報をもとに、要求元 OS上で、全てのアクセス要求に対するアクセス権限判定ができないことである。

[0027] その理由は、第 1の問題点の理由と同じである。

[0028] なお、これらの問題点が解決されると、背景技術で述べたアクセス権限判定システムに求められる 3つの要件を満たしたアクセス制御判定システムを構築することができる。

[0029] [発明の目的]

本発明の目的は、要求元 OS上で実行されているサブジェクトの情報を、要求先 O

Sから参照することができるアクセス権限判定システム、アクセス権限判定方法及びァクセス権限判定プログラムを提供することである。

[0030] 本発明の他の目的は、要求元 OS上で実行されているサブジェクトの情報をもとに、要求元 OS上でアクセス権限判定ができるアクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラムを提供することである。

[0031] また、本発明の他の目的は、要求元 OS上で実行されているサブジェクトの情報をもとに、要求元 OS上で、全てのアクセス要求に対するアクセス権限判定ができるァクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラムを提供することである。

課題を解決するための手段

[0032] 本発明は、上記課題を解決するための手段として、要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されているサブジェクトの権限に応じて、アクセス権限判定を行うことを特徴とする。

[0033] また、本発明は、前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジエタト情報を問ヽ合わせることを特徴する。

[0034] また、本発明は、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行するアクセス要求代理手段と、前記アクセス要求代理手段からのァクセス要求があった時に、前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報を要求元 OSから取得するサブジェクト情報取得手段と、前記要求元 OS上で実行されているサブジェクトの種類ごとに、アクセス要求代理手段に割り当てるサブジェクト情報を記述したサブジェクト情報変換データベースと、前記サブジェクト情報取得手段が取得した、前記要求元 OS上で実行されて、るサブジェクトのサブジエタト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換するサブジェクト情報変換手段と、前記サブジエタト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えることを特徴とする。

[0035] また、本発明は、前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 OSに通知することを特徴とする。

[0036] また、本発明は、前記要求元 OSが、サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェクトのサブジェクト情報を追カ卩し、アクセス要求を要求先 OSに通知するアクセス処理手段を備えており、前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれて、る前記サブジエタトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行するアクセス要求代理手段と、前記アクセス要求代理手段からのアクセス要求があった時に、前記サブジェクト情報記憶部に保存されている、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報を取得するサブジエタト情報取得手段と、前記要求元 OS上で実行されているサブジェクトの種類ごとに、アクセス要求代理手段に割り当てるサブジェクト情報を記述したサブジェクト情報変換データベースと、前記サブジェクト情報取得手段が取得した、前記要求元 os上で実行されて、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換するサブジェクト情報変換手段と、前記サブジェクト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えることを特徴とする。

[0037] また、本発明は、前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存するサブジェクト情報通知手段を備えており、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行するアクセス要求代理手段と、前記アクセス要求代理手段からのアクセス要求があった時に、前記サブジェクト情報記憶部に保存されている、前記要求元 OS 上で実行されているサブジェクトのサブジェクト情報を取得するサブジェクト情報取得手段と、前記要求元 OS上で実行されているサブジェクトの種類ごとに、アクセス要求代理手段に割り当てるサブジェクト情報を記述したサブジェクト情報変換データべ一スと、前記サブジェクト情報取得手段が取得した、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換するサブジェクト情報変換手段と、前記サブジェクト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えたことを特徴とする。

[0038] また、本発明は、前記要求元 OSと前記要求先 OSを一つの情報処理装置で実行する。

[0039] また、本発明は、前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する。 [0040] また、本発明は、要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されて、るサブジェクトの権限に応じて、アクセス権限判定を行うことを特徴とする。

[0041] また、本発明は、前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジエタト情報を問ヽ合わせることを特徴する。

[0042] また、本発明は、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 1のステップと、前記第 1のステップによるアクセス要求があつた時に、前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報を要求元 OSから取得する第 2のステップと、前記第 2のステップで取得した前記要求元 OS 上で実行されて、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 3のステップと、前記第 3のステップによって変換された、前記第 1のステップによるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2のステップによるアクセス要求の権限を判定する第 4のステツプと、を備えることを特徴とする。

[0043] また、本発明は、前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 OSに通知することを特徴とする。

[0044] また、本発明は、前記要求元 OSが、サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェクトのサブジェクト情報を追カ卩し、アクセス要求を要求先 OSに通知する第 1のステップと、前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれている前記サブジェクトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行する第 2のステップと、前記第 2のステップによるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部から取得する第 3のステップと、前記第 3のステップで取得した前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4のステップと、前記第 4のステップによって変換された、前記第 2のステップによるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェタト情報をもとに、前記第 2のステップによるアクセス要求の権限を判定する第 5のステツプと、を備えることを特徴とする。

[0045] また、本発明は、前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存する第 1のステップと、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 2 のステップと、前記第 2のステップによるアクセス要求があった時に、前記要求元 OS 上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部から取得する第 3のステップと、前記第 3のステップで取得した前記要求元 OS上で実行されて!、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4のステツプと、前記第 4のステップによって変換された、前記第 2のステップによるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2のステップによるアクセス要求の権限を判定する第 5のステップと、を備えることを特徴とする。

[0046] また、本発明は、前記要求元 OSと前記要求先 OSを 1つの情報処理装置で実行する。

[0047] また、本発明は、前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する。

[0048] また、本発明は、要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されて、るサブジェクトの権限に応じて、アクセス権限処理を行うことを特徴とする。

[0049] また、本発明は、前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジエタト情報を問ヽ合わせることを特徴する。

[0050] また、本発明は、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 1の処理と、前記第 1の処理によるアクセス要求があった時に、前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報を要求元 OS から取得する第 2の処理と、前記第 2の処理で取得した前記要求元 OS上で実行されて!、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 3の処理と、前記第 3の処理によって変換された、前記第 1の処理によるアクセス要求のサブジェタト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2の処理によるアクセス要求の権限を判定する第 4の処理と、を備えることを特徴とする。

[0051] また、本発明は、前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 OSに通知することを特徴とする。

[0052] また、本発明は、前記要求元 OSが、サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェクトのサブジェクト情報を追カ卩し、アクセス要求を要求先 OSに通知する第 1の処理と、前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれて、る前記サブジェクトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行する第 2の処理と、前記第 2の処理によるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部から取得する第 3の処理と、前記第 3の処理で取得した前記要求元 OS上で実行されて!、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4の処理と、前記第 4の処理によって変換された、前記第 2の処理によるアクセス要求のサブジェタト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2の処理によるアクセス要求の権限を判定する第 5の処理と、を備えることを特徴とする。

[0053] また、本発明は、前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存する第 1の処理と、前記要求先 O S力前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 2の処理と、前記第 2の処理によるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部力取得する第 3 の処理と、前記第 3の処理で取得した前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4の処理と、前記第 4の処理によって変換された、前記第 2の処理によるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2の処理によるァクセス要求の権限を判定する第 5の処理と、を備えることを特徴とする。

[0054] また、本発明は、前記要求元 OSと前記要求先 OSを 1つの情報処理装置で実行する。

[0055] また、本発明は、前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する。

発明の効果

[0056] 第 1の効果は、要求元 OS上のサブジェクトに対するアクセス権限として、従来より細かい設定ができることにある。

[0057] この結果、要求先 OSのシステム管理者は要求元 OS上のサブジェクトに関しても、サブジェクト毎に細力べァクセ

ス権限を付与することができる。

[0058] その理由は、サブジェクト情報変換データベースで、要求元 OS上のサブジェクトごとに割り当てるサブジェクト情報を設定できるからである。

[0059] 第 2の効果は、要求元 OSのセキュリティ的脆弱性を突かれて、要求元 OSの権利者権限を奪われて不正アクセスされても、本特許のアクセス権限チェックは、ユーザによらず、サブジェクト情報に立脚しているので、被害を最小限に抑えることができる。

[0060] その理由は、要求元 OS上で実行されて、るサブジェクトの情報を、要求先 OSから参照することができるからである。

図面の簡単な説明

[0061] [図 1]本発明の第 1の発明を実施するための最良の形態の構成を示すブロック図である。

[図 2]第 1の発明を実施するための最良の形態の動作の具体例の前半部分を示す図である。

[図 3]第 1の発明を実施するための最良の形態の動作の具体例の後半部分を示す図である。

[図 4]本発明の第 2の発明を実施するための最良の形態の構成を示すブロック図である。

[図 5]第 2の発明を実施するための最良の形態の動作の具体例の前半部分を示す図である。

[図 6]第 2の発明を実施するための最良の形態の動作の具体例の後半部分を示す図である。

[図 7]本発明の第 3の発明を実施するための最良の形態の構成を示すブロック図である。

[図 8]第 3の発明を実施するための最良の形態の動作の具体例の前半部分を示す図である。

[図 9]第 3の発明を実施するための最良の形態の動作の具体例の後半部分を示す図である。

[図 10]サブジェクト情報変換データベース 207の具体例を示す図である。

符号の説明

1 要求元 OS

101 アクセス要求手段

102 アクセス処理手段 A

103 サブジェクト情報記憶部 A

104 通信部 A

105 サブジェクト情報通知手段

2 要求先 OS

201 通信部 B

202 アクセス要求代理手段 203 アクセス処理手段 B

204 オブジェクト

205 サブジェクト情報取得手段

206 サブジェクト情報変換手段

207 サブジェクト情報変換データベース

208 サブジェクト情報記憶部 B

209 アクセス権限判定手段

210 サブジェクト情報記憶部 C

発明を実施するための最良の形態

[0063] 以下、添付図面を参照して本発明を実施するための最良の実施の形態を説明する

[0064] 図 1を参照すると、本発明の第 1の最良の形態は、互いに通信することができる要求元 OS、要求先 OS力構成される。

[0065] これら 2つの OSは、 1台の情報処理装置にインストールされていても、互いに別の情報処理装置にインストールされて!/、ても構わな、。

[0066] 要求元 OS1は、アクセス要求手段 101とアクセス処理手段 A102、サブジェクト情報記憶部 A103、通信部 A104から構成される。

[0067] アクセス要求手段 101は、要求元 OS 1内で実行されているサブジェクトであり、要求先 OS2のオブジェクト 204へのアクセス要求を行うアクセス主体である。

[0068] 要求元 OS1上で動作するプロセスなどがこのアクセス要求手段 101に相当する。

[0069] アクセス処理手段 A102は、要求元 OS1のカーネルに相当し、サブジェクト管理、メモリ管理、割り込み管理、サブジェクト間通信といった要求元 OS1の基本制御を行う部分である。

[0070] このアクセス処理手段 A102は、アクセス要求手段 101からのアクセス要求があると

、そのアクセス要求を通信部 A104に送信する。

[0071] サブジェクト情報記憶部 A103には、アクセス要求手段 101のサブジェクト情報が保存されている。

[0072] 通信部 A104は、要求元 OS1と要求先 OS2との間の通信インタフェースである。 [0073] 一方、要求先 OS2は、通信部 B201とアクセス要求代理手段 202、アクセス処理手段 B203、オブジェクト 204、サブジェクト情報取得手段 205、サブジェクト情報変換手段 206、アクセス権限判定手段 207、サブジェクト情報変換データベース 208、サブジェクト情報記憶部 B209から構成される。

[0074] 通信部 B201は、要求元 OS1と要求先 OS2との間の通信インタフェースである。

[0075] アクセス要求代理手段 202は、要求元 OS 1からのアクセス要求を受け取り、そのァクセス要求を実行する。

[0076] これにより、要求元 OS1内でアクセス要求手段 101が出したアクセス要求は、要求先 OS2内では、アクセス要求代理手段 202が出したアクセス要求として扱われる。

[0077] 要求先 OS 2上で動作する UMLプロセス、 NFSデーモンなどがこのアクセス要求代理手段 202に相当する。

[0078] アクセス処理手段 B203は、要求先 OS2のカーネルに相当し、サブジェクト管理、メモリ管理、割り込み管理、サブジェクト間通信といったシステムの基本制御を行う部分である。

[0079] このアクセス処理手段 B203は、アクセス要求代理手段 201からのアクセス要求があると、そのアクセス要求の中に含まれている、アクセス要求代理手段 202のサブジェクト情報とアクセス対象オブジェクト 204のオブジェクト情報をもとに、アクセス処理を実行する。

[0080] オブジェクト 204は、サブジェクトのアクセス対象である。

[0081] なお、オブジェクト 204は、ファイル、ディレクトリ、セマフォ、パイプ、 FIFO,メッセ一ジ、共有メモリ、ソケット、など、要求先 OS2上のコンビユー

タ資源であれば何でも良、。

[0082] サブジェクト情報取得手段 205は、アクセス要求手段 101のサブジェクト情報を取得する手段である。

[0083] サブジェクト情報取得手段 205は、通信部 B201、通信部 A104、アクセス処理手段 A102を介し、サブジェクト情報記憶部 A103に保存されたサブジェクト情報を取得する。

[0084] サブジェクト情報変換手段 206は、アクセス権限判定手段 207に渡すサブジェクト情報を適切なサブジェクト情報に変換する。

[0085] 要求元 OS1内のアクセス要求手段 101から、要求先 OS2上のオブジェクト 204〖こアクセス要求があっても、要求先 OS2上のアクセス処理手段 B203は、アクセス要求代理手段 202からオブジェクト 204に対するアクセス要求と見なしてしまう。

[0086] そこで、サブジェクト情報変換手段 206は、アクセス要求を受け取った時に、サブジェクト情報取得手段 205を介して、アクセス要求手段 101のサブジェクト情報を取得することとする。

[0087] そして、取得したサブジェクト情報とサブジェクト情報変換データベース 208をもとに、アクセス要求代理手段 202のサブジェクト情報を変換し、変換後のサブジェクト情報をアクセス権限判定手段 207に渡す処理を行う。

[0088] アクセス権限判定手段 207は、特許文献 1、非特許文献 1に示されるように、実行されようとしているアクセス要求について、その要求元サブジェクトのサブジェクト情報と、要求先オブジェクトのオブジェクト情報をもとに、そのアクセスを許可する力許可しないかを判断する。

[0089] アクセス処理手段 B203にアクセス要求が届くたびに、アクセス権限判定手段 207 が呼ばれるため、要求先 OS 1内で実行される全サブジェクトについて、サブジェクトがアクセス要求を出すたびに、そのアクセスを許可するか許可しな、かの判断がなされること〖こなる。

[0090] サブジェクト情報変換データベース 208には、要求元 OS 1上のアクセス要求手段 1 01ごとに、要求元 OS 1上でのサブジェクト情報と、そのサブジェクトに対して要求先 OS上で割り当てるサブジェクト情報が保存されて！、る。

[0091] サブジェクト情報記憶部 B209には、アクセス要求代理手段 202のサブジェクト情報が記憶される。

[0092] サブジェクト情報変換手段 206がアクセス要求代理手段 202のサブジェクト情報を変換する時、変換前のサブジェクト情報がこの記憶部に退避される。

[0093] そして、サブジェクト変換手段 206が、アクセス要求をアクセス処理手段 B203に返す時は、そのアクセス要求のサブジェクト情報をこの記憶部に退避されたサブジェクト情報に戻し、返される。 [0094] なお UMLのように、要求元 OS1と要求先 OS2が同一の情報処理装置で実行されている場合は、通信部 A104、通信部 B210が存在しないため、アクセス処理手段 A 102は、通信部を介さずに直接要求先 OS2のアクセス要求代理手段 101にアクセス要求を通知する。またサブジェクト情報取得手段 205も、通信部を介さずアクセス処理手段 A102のみを介し、サブジェクト情報記憶部 A103に保存されたサブジェクト情報を取得する。

[0095] 次に、図 1、図 2及び図 3のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

[0096] まずアクセス要求手段 101がオブジェクト 204へのアクセス要求を出す (ステップ S1 )と、アクセス処理手段

A102はそのアクセス要求を、通信部 A104、通信部 B201を介して、アクセス要求代理手段 202に通知する (ステップ S2)。

[0097] 次に、アクセス要求代理手段 202が、受け取ったアクセス要求を実行する (ステップ S3)。

[0098] 次に、アクセス処理手段 B202が、受け取ったアクセス要求をサブジェクト情報変換手段 206に通知する（ステップ S4)。

[0099] 次に、サブジェクト情報取得手段 205が、通信部 B201、通信部 A104、アクセス処理手段 A102を介し、サブジェクト情報記憶部 A103からアクセス要求手段 101のサブジェクト情報を取得し、サブジェクト情報変換手段 206に通知する (ステップ S5)。

[0100] 次に、サブジェクト情報変換手段 206が、前ステップで取得したサブジェクト情報とサブジェクト情報変換データベース 208をもとに、アクセス要求代理手段 202に割り当てる新し、サブジェクト情報を取得する (ステップ S6)。

[0101] 次に、サブジェクト情報変換手段 206が、アクセス要求代理手段 202にもともと割り当てられていたサブジェクト情報を、サブジェクト情報記憶部 B209に退避させ、前ステツプで取得したサブジェクト情報を割り当て直す (ステップ S7)。

[0102] 次に、サブジェクト情報変換手段 206が、アクセス権限判定手段 207にアクセス権限判定を依頼する (ステップ S8)。

[0103] 次に、アクセス権限判定手段 207が、そのアクセス要求のサブジェクト情報とォブジェクト情報をもとに、そのアクセスを許可するか許可しないかを判定し、判定結果をォブジェクト情報変換手段 206に通知する (ステップ S 9)。

[0104] 次に、サブジェクト情報変換手段 206は、アクセス要求代理手段 202のサブジェクト情報を、サブジェクト情報記憶部 B209に退避させたサブジェクト情報に戻し、前ステップの判定結果をアクセス処理手段 203に返す (ステップ S 10)。

[0105] 最後に、アクセス処理手段 B203が、前ステップ力も受け取ったアクセス要求の判定結果をもとに、もし判定結果が許可であればオブジェクトへのアクセス処理を行、、判定結果が不許可であればオブジェクトへのアクセス処理は行わなヽ (ステップ S11

) o

[0106] 次に、本実施の形態の効果について説明する。

[0107] 本実施の形態の第 1の効果として、本実施の形態では、サブジェクト情報取得手段 205力通信部 B201、通信部 A104、アクセス処理手段 A102を介し、サブジェクト情報記憶部 A203からアクセス要求手段 101のサブジェクト情報を取得し、そのサブジェタト情報に応じて、サブジェクト情報取得変換手段 206がアクセス要求代理手段 202のサブジェクト情報を置き換えるため、アクセス要求手段 101の種類に応じたァクセス権限判定を行うことができる。

[0108] また、本実施の形態の第 2の効果として、本実施の形態では、アクセス権限判定は全て要求先 OS上のアクセス権限判定手段 207で行われるため、アクセス要求手段 1 01に対するアクセス権限判定ポリシ全て要求先 OSで一括して管理することができる

[0109] これにより、システム管理者は、アクセス権限判定システム構築に掛カる手間を削減することができる。

[0110] また、本実施の形態の第 3の効果として、本実施の形態では、既存のアクセス権限判定手段 207に手をカ卩えることなぐ容易に要求元 OS1のアクセス要求手段 101からのアクセス要求に対応したアクセス権限判定システムを構築することができる。

[0111] また、本実施の形態の第 4の効果として、要求元 OSのセキュリティ的脆弱性を突かれて、要求元 OSの権利者権限を奪われて不正アクセスされても、本特許のアクセス権限チェックは、ユーザによらず、サブジェクト情報に立脚しているので、被害を最小限に抑えることができる。

[0112] 次に、本発明の第 2の発明を実施するための最良の形態について図面を参照して詳細に説明する。

[0113] 図 4を参照すると、本発明の第 2の発明を実施するための最良の形態は、第 1の発明を実施するための最良の形態と比較し、要求先 OS2内にサブジェクト情報記憶部

C210を有する点で異なる。

[0114] サブジェクト情報記憶部 C210は、アクセス要求代理手段 A202がアクセス要求手段 101のサブジェクト情報を保存しておくための記憶領域である。

[0115] またそれに伴!、、アクセス処理手段 A102と、アクセス要求代理手段 202、サブジエタト情報取得手段 205の動作が異なるので、以下に説明する。

[0116] アクセス処理手段 A102は、アクセス要求手段 101からのアクセス要求があると、ァクセス要求に、サブジェクト情報記憶部 A103に保存されているサブジェクト情報を含め通信部 A104に送信する。

[0117] アクセス要求代理手段 202は、要求元 OS1からのアクセス要求を受け取り、その中に含まれているアクセス要求手段 101のサブジェクト情報をサブジェクト情報記憶部

C210に保存し、さらに受け取ったアクセス要求を実行する。

[0118] サブジェクト情報取得手段 205は、サブジェクト情報記憶部 C210に保存されたァクセス要求手段 101のサブジェクト情報を取得する。

[0119] なお UMLのように、要求元 OS1と要求先 OS2が同一の情報処理装置で実行されている場合は、通信部 A104、通信部 B210が存在しないため、アクセス処理手段 A

102は、通信部を介さずに直接要求先 OS2のアクセス要求代理手段 101にアクセス要求を通知する。

[0120] その他の構成要素の動作は、本発明の第 1の発明を実施するための最良の形態における動作と同一であるため、説明は省略する。

[0121] 次に、図 4及び図 5、図 6のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

[0122] まず、アクセス要求手段 101がオブジェクト 204へのアクセス要求を出す (ステップ S 1)と、アクセス処理手段 A102は、そのアクセス要求に、サブジェクト情報記憶部 A1 03に保存されているサブジェクト情報を含め、通信部 A104、通信部 B201を介して

、アクセス要求代理手段 202に通知する (ステップ S 2)。

[0123] 次に、アクセス要求代理手段 202が、受け取ったアクセス要求の中に含まれているアクセス要求手段 101のサブジェクト情報をサブジェクト情報記憶部 C210に保存し（ステップ S3)、さらに受け取ったアクセス要求を実行する (ステップ S4)。

[0124] 次に、アクセス処理手段 B202が、受け取ったアクセス要求をサブジェクト情報変換手段 206に通知する（ステップ S5)。

[0125] 次に、サブジェクト情報取得手段 205が、サブジェクト情報記憶部 C210から、サブジェタト情報記憶部 A10

3からアクセス要求手段 101のサブジェクト情報を取得し、サブジェクト情報変換手段

206に通知する（ステップ S6)。

[0126] 次に、サブジェクト情報変換手段 206が、前ステップで取得したサブジェクト情報とサブジェクト情報変換データベース 208をもとに、アクセス要求代理手段 202に割り当てる新し、サブジェクト情報を取得する (ステップ S 7)。

[0127] 次に、サブジェクト情報変換手段 206が、アクセス要求代理手段 202にもともと割り当てられていたサブジェクト情報を、サブジェクト情報記憶部 B209に退避させ、前ステツプで取得したサブジェクト情報を割り当て直す (ステップ S8)。

[0128] 次に、サブジェクト情報変換手段 206が、アクセス権限判定手段 207にアクセス権限判定を依頼する (ステップ S9)。

[0129] 次に、アクセス権限判定手段 207が、そのアクセス要求のサブジェクト情報とォブジェクト情報をもとに、そのアクセスを許可するか許可しないかを判定し、判定結果をサブジェクト情報変換手段 206に通知する (ステップ S 10)。

[0130] 次に、サブジェクト情報変換手段 206は、アクセス要求代理手段 202のサブジェクト情報を、サブジェクト情報記憶部 B209に退避させたサブジェクト情報に戻し、前ステップの判定結果をアクセス処理手段 203に返す (ステップ S 11)。

[0131] 最後に、アクセス処理手段 B203が、前ステップ力も受け取ったアクセス要求の判定結果をもとに、もし判定結果が許可であればオブジェクトへのアクセス処理を行、、判定結果が不許可であればオブジェクトへのアクセス処理は行わなヽ (ステップ S 12 ) o

[0132] 次に、本実施の形態の効果について説明する。

[0133] 本実施の形態の第 1の効果として、本実施の形態では、アクセス要求代理手段 202 が、アクセス要求手段 101のサブジェクト情報をサブジェクト情報記憶部 C210に保存し、サブジェクト情報取得手段 205が、サブジェクト情報記憶部 C210からアクセス要求手段 101のサブジェクト情報を取得し、そのサブジェクト情報に応じて、サブジエタト情報変換手段 206がアクセス要求代理手段 202のサブジェクト情報を置き換えるため、アクセス要求手段 101の種類に応じたアクセス権限判定を行うことができる。

[0134] また、本実施の形態の第 2の効果として、本実施の形態では、アクセス権限判定は全て要求先 OS上のアクセス権限判定手段 207で行われるため、アクセス要求手段 1 01に対するアクセス権限判定ポリシ全て要求先 OSで一括して管理することができる

[0135] これにより、システム管理者は、アクセス権限判定システム構築に掛カる手間を削減することができる。

[0136] また、本実施の形態の第 3の効果として、本実施の形態では、既存のアクセス権限判定手段 207に手をカ卩えることなぐ容易に要求元 OS1のアクセス要求手段 101からのアクセス要求に対応したアクセス権限判定システムを構築することができる。

[0137] また、本実施の形態の第 4の効果として、要求元 OSのセキュリティ的脆弱性を突かれて、要求元 OSの権利者権限を奪われて不正アクセスされても、本特許のアクセス権限チェックは、ユーザによらず、サブジェクト情報に立脚しているので、被害を最小限に抑えることができる。

[0138] 次に、本発明の第 3の発明を実施するための最良の形態について図面を参照して詳細に説明する。

[0139] 図 7を参照すると、本発明の第 3の発明を実施するための最良の形態は、第 1の発明を実施するための最良の形態と比較し、要求元 OS 1にサブジェクト情報通知手段 105を有し、また要求先 OS2にサブジェクト情報記憶部 C210を有する点で異なる。

[0140] サブジェクト情報通知手段 105は、アクセス処理手段 A102上でコンテキストスイツチが起こった際、スィッチ後実行されることになるサブジェクトのサブジェクト情報を、通信部 A104、通信部 B210を介し、アクセス要求代理手段 101に伝える。

[0141] なお、コンテキストスィッチとは、マルチタスク OSにおける実行サブジェクトの切り替え作業のことである。

[0142] サブジェクト情報記憶部 C210は、サブジェクト情報通知手段 105がサブジェクト情報を保存しておくための記憶領域である。

[0143] また、それに伴い、アクセス要求代理手段 101とサブジェクト情報取得手段 205の動作が異なるので以下に説明する。

[0144] アクセス要求代理手段 101は、本実施の第 1の実施の形態において説明した動作に加えて更に、要求元 OS 1のサブジェクト情報通知手段 105からサブジェクト情報の通知を受けた時、そのサブジェクト情報をサブジェクト情報記憶部 C210に保存する

[0145] サブジェクト情報取得手段 205は、サブジェクト情報記憶部 C210に保存されたァクセス要求手段 101のサブジェクト情報を取得する。

[0146] なお UMLのように、要求元 OS1と要求先 OS2が同一の情報処理装置で実行されている場合は、通信部 A104、通信部 B210が存在しないため、アクセス要求手段 10 1やサブジェクト情報通知手段 105による要求先 OS2への通知は、通信部を介さずに直接要求先 OS2のアクセス要求代理手段 101に通知される。

[0147] その他の構成要素の動作は、本発明の第 1の発明を実施するための最良の形態における動作と同一であるため、説明は省略する。

[0148] 次に、図 7、図 8及び図 10のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

[0149] まず、要求元 OS1のアクセス処理手段 A102が、コンテキストスィッチが起こるたびに、サブジェクト情報通知手段 105は、実行中サブジェクトのサブジェクト情報をァクセス要求代理手段 101に通知し、アクセス要求代理手段 101はそれをサブジェクト情報記憶部 C210に保存する (ステップ Sl)。

[0150] 次に、アクセス要求手段 101がオブジェクト 204へのアクセス要求を出す (ステップ S2)と、アクセス処理手段 A102はそのアクセス要求を、通信部 A104、通信部 B201 を介して、アクセス要求代理手段 202に通知する (ステップ S3)。 [0151] 次に、アクセス要求代理手段 202が、受け取ったアクセス要求を実行する (ステップ S4)。

[0152] 次に、アクセス処理手段 B202が、受け取ったアクセス要求をサブジェクト情報変換手段 206に通知する（ステップ S5)。

[0153] 次に、サブジェクト情報取得手段 205が、サブジェクト情報記憶部 C210からァクセス要求手段 101のサブジェクト情報を取得し、サブジェクト情報変換手段 206に通知する（ステップ S 6)。

[0154] 次に、サブジェクト情報変換手段 206が、前ステップで取得したサブジェクト情報とサブジェクト情報変換データベース 208をもとに、アクセス要求代理手段 202に割り当てる新し、サブジェクト情報を取得するステップ S 7)。

[0155] 次に、サブジェクト情報変換手段 206が、アクセス要求代理手段 202にもともと割り当てられていたサブジェクト情報を、サブジェクト情報記憶部 B209に退避させ、前ステツプで取得したサブジェクト情報を割り当て直す (ステップ S8)。

[0156] 次に、サブジェクト情報変換手段 206が、アクセス権限判定手段 207にアクセス権限判定を依頼する (ステップ S9)。

[0157] 次に、アクセス権限判定手段 207が、そのアクセス要求のサブジェクト情報とォブジェクト情報をもとに、そのアクセスを許可するか許可しないかを判定し、判定結果をサブジェクト情報変換手段 206に通知する (ステップ S 10)。

[0158] 次に、サブジェクト情報変換手段 206は、アクセス要求代理手段 202のサブジェクト情報を、サブジェクト情報記憶部 B209に退避させたサブジェクト情報に戻し、前ステップの判定結果をアクセス処理手段 203に返す (ステップ S 11)。

[0159] 最後に、アクセス処理手段 B203が、前ステップ力も受け取ったアクセス要求の判定結果をもとに、もし判定結果が許可であればオブジェクトへのアクセス処理を行、、判定結果が不許可であればオブジェクトへのアクセス処理は行わなヽ (ステップ S 12

) o

[0160] 次に、本実施の形態の効果について説明する。

[0161] 本実施の形態の第 1の効果として、本実施の形態では、アクセス要求代理手段 202 が、アクセス要求手段 101のサブジェクト情報をサブジェクト情報記憶部 C210に保存し、サブジェクト情報取得手段 205が、サブジェクト情報記憶部 C210からアクセス要求手段 101のサブジェクト情報を取得し、そのサブジェクト情報に応じて、サブジエタト情報変換手段 206がアクセス要求代理手段 202のサブジェクト情報を置き換えるため、アクセス要求手段 101の種類に応じたアクセス権限判定を行うことができる。

[0162] また、本実施の形態の第 2の効果として、本実施の形態では、アクセス権限判定は全て要求先 OS上のアクセス権限判定手段 207で行われるため、アクセス要求手段 1 01に対するアクセス権限判定ポリシ全て要求先 OSで一括して管理することができる

[0163] これにより、システム管理者は、アクセス権限判定システム構築に掛カる手間を削減することができる。

[0164] また、本実施の形態の第 3の効果として、本実施の形態では、既存のアクセス権限判定手段 207に手をカ卩えることなぐ容易に要求元 OS1のアクセス要求手段 101からのアクセス要求に対応したアクセス権限判定システムを構築することができる。

[0165] また、本実施の形態の第 4の効果として、要求元 OSのセキュリティ的脆弱性を突かれて、要求元 OSの権利者権限を奪われて不正アクセスされても、本特許のアクセス権限チェックは、ユーザによらず、サブジェクト情報に立脚しているので、被害を最小限に抑えることができる。

実施例

[0166] 次に、本発明の第 1の実施例を、図 1 図 3を参照して説明する。

[0167] 力かる実施例は本発明の第 1の実施の形態に対応するものである。

[0168] 本実施例は、 1台の情報処理装置における仮想マシン環境であり、情報処理装置としてパーソナル 'コンピュータを、要求元 OS1として UMLを、要求先 OSとして Linu

Xを想定する。

[0169] 本実施例では、要求元 OS1として UMLを使用するので、図 1中の要求元 OS1内の構成要素について、アクセス要求手段 101を UML上で動作するアプリケーションプロセスと見なすことができ、アクセス要求処理手段 A102を UMLカーネルと見なすことができる。

[0170] また、サブジェクト情報記憶部 A103は、主記憶上に確保されたサブジェクト情報記憶領域 Aと見なすことができ、ここにはアプリケーションプロセスの実行ファイルの絶対パス（例えば ZusrZlocalZbinZapp3)が保存されて!、るものとする。

[0171] 本実施例では、要求先 OSとして Linuxを使用するので、図 1中の要求先 OS2内の構成要素について、アクセス要求代理手段 202を UMLカーネルの実行プロセスと見なすことができ、アクセス処理手段 B203をホスト Linuxカーネルと見なすことができ、オブジェクト 204をホスト Linux上のあるファイル Aと見なすことができ、サブジェクト情報取得手段 205をカーネル内で動作するサブジェクト情報取得モジュールと見なすことができ、サブジェクト情報変換手段 206をカーネル内で動作するサブジェクト情報変換モジュールと見なすことができ、アクセス権限判定手段 207を SELinuxと見なすことができる。

[0172] またサブジェクト情報記憶部 B209は、主記憶上のサブジェクト情報記憶領域 Bと見なすことができ、 SELinuxの SID (Security ID)が記憶される。

[0173] SIDとは、 SELinuxが OS上の全てのサブジェクト、オブジェクトに割り当てる識別子情報で、 SELinuxはプロセスがファイルにアクセスする際、それぞれに割り当てられた SIDを比較し、アクセス権限判定を行ってヽる。

[0174] またサブジェクト情報変換データベース 208は、主記憶上のサブジェクト情報変換データベース記憶領域であり、 UML上のプロセスの実行ファイルのパス情報と、そのプロセスに割り当てる SID力プロセスごとに保存されていることとする。

[0175] 図 10にその例を示す。

[0176] 以上のことをまとめると、本実施例では、 SELinuxがインストールされた Linux上で UMLを実行して!/、る時に、 UML上のプロセスからホスト Linux上のリソースに対するアクセス権限判定を、ホスト Linuxにインストールされた SELinuxを用いて行うことになる。

[0177] 以上の構成を用いて、 UML上のアプリケーションプロセスから、 Host Filesyste m経由でホスト Linux上のファイルへの読み込み要求があった場合の動作を説明する。

[0178] まず、 UML上のアプリケーションプロセス力ファイル Aを読み込むためのシステムコールを発行すると、 UMLカーネルがその情報をホスト Linux上の UMLカーネルの実行プロセスに通知する。

[0179] それを受け取った UMLカーネルの実行プロセスは、ファイル Aを読み込むためのシステムコ一ノレを、ホスト Lin

ux力一ネルに対して発行し直す。

[0180] これによりホスト Linuxカーネルは、発行されたシステムコールを、 UMLカーネルの実行プロセスがファイルを読み込むためのシステムコールとして解釈する。

[0181] 次に、ホスト Linuxカーネルが読み込み処理を行うことになる力その前にサブジエタト情報取得モジュールが、 UML上の UMLカーネルに問合せ、アプリケーションプ口セスの実行ファイルの絶対パスを取得する。

[0182] そして、その絶対パスとサブジェクト情報変換データベース記憶領域に保存されている情報をもとに、サブジェクト情報変換モジュールは、 UMLカーネルの実行プロセスに割り当てるべき SIDを取得する。

[0183] 図 10で示したサブジェクト情報変換データベース記憶領域を用いる場合、アプリケーシヨンプロセスの実行ファイルの絶対パスが ZusrZlocalZbinZapp3であるため、 SIDとして 13を取得する。

[0184] 次に、サブジェクト情報変換モジュールは、もともと UMLカーネルの実行プロセスに割り当てられて!/、た SIDをサブジェクト情報記憶領域 Bに退避させ、取得した SID を UMLカーネルの実行プロセスに付カ卩した上で、 SELinuxにアクセス権限判定を依頼し、 SELinuxが、 UMLカーネルの実行プロセスに割り当てられた SID 13とフアイル Aに割り当てられている SIDをもとにアクセス権限判定を行う。

[0185] これにより、 UMLカーネルの実行プロセスからのシステムコールは、そのシステムコールの元になつた UML上のアプリケーションプロセスに応じて、適した SIDに置き換えられた上で、アクセス権限判定が行われることになる。

[0186] アクセス権限判定が行われると、アクセス許可もしくは不許可の結果がサブジェクト情報変換モジュールに返ってくることになる力次に、サブジェクト情報変換モジユールは、サブジェクト情報記憶領域 Bに保存されている、 UMLカーネルの実行プロセスのもともとの SIDを、 UML力ーネノレの実行プロセスに戻す。

[0187] これらの処理が終わると、サブジェクト情報変換モジュールは、処理をホスト Linux カーネルに返す。

[0188] ホスト Linuxカーネルでは、 SELinuxでのアクセス権限判定の結果に基づいて、実際のアクセス処理を行う。

[0189] もしアクセス許可の判定であれば、 UMLカーネルからのファイル Aに対するァクセス処理は実行する。

[0190] もしアクセス不許可の判定であれば、アクセス処理は実行されない。

[0191] 次に、本発明の第 2の実施例を、図 4 図 6を参照して説明する。

[0192] 力かる実施例は本発明の第 2の実施の形態に対応するものである。

[0193] 本実施例は、ホスト Linux上にサブジェクト情報記憶部 C210を有する点で、第 1の実施例の構成と異なるが、その他の構成は同一である。

[0194] サブジェクト情報記憶部 C210は、主記憶上に確保されたサブジェクト情報記憶領域 Cと見なすことができ、ここにはアプリケーションプロセスの絶対パスが保存される。

[0195] 以上の構成を用いて、 UML上のアプリケーションプロセスから、 Host Filesyste m経由でホスト Linux上のファイルへの読み込み要求があった場合の動作を説明する。

[0196] まず、 UML上のアプリケーションプロセス力ファイル Aを読み込むためのシステムコールを発行すると、 UMLカーネルがその情報に、アプリケーションプロセスの実行ファイルの絶対パスを含め、ホスト Linux上の UMLカーネルの実行プロセスに通知する。

[0197] それを受け取った UMLカーネルの実行プロセスは、まず送られてきたアプリケーシヨンプロセスの絶対パスを、サブジェクト情報記憶領域 Cに保存する。

[0198] そして、ファイル Aを読み込むためのシステムコールを、ホスト Linuxカーネルに対して発行し直す。

[0199] これによりホスト Linuxカーネルは、発行されたシステムコールを、 UMLカーネルの実行プロセスがファイルを読み込むためのシステムコールとして解釈する。

[0200] 次に、ホスト Linuxカーネルが読み込み処理を行うことになる力その前にサブジエタト情報取得モジュール力サブジェクト情報記憶領域 Cに問合せ、アプリケーションプロセスの実行ファイルの絶対パスを取得する。 [0201] そして、その絶対パスとサブジェクト情報変換データベース記憶領域に保存されている情報をもとに、サブジェクト情報変換モジュールは、 UMLカーネルの実行プロセスに割り当てるべき SIDを取得する。

[0202] 図 10で示したサブジェクト情報変換データベース記憶領域を用いる場合、アプリケーシヨンプロセスの実行ファイルの絶対パスが ZusrZlocalZbinZapp3であるため、 SIDとして 13を取得する。

[0203] 次に、サブジェクト情報変換モジュールは、もともと UMLカーネルの実行プロセスに割り当てられて!/、た SIDをサブジェクト情報記憶領域 Bに退避させ、取得した SID を UMLカーネルの実行プロセスに付カ卩した上で、 SELinuxにアクセス権限判定を依頼し、 SELinuxが、 UMLカーネルの実行プロセスに割り当てられた SID 13とフアイル Aに割り当てられている SIDをもとにアクセス権限判定を行う。

[0204] これにより、 UMLカーネルの実行プロセスからのシステムコールは、そのシステムコールの元になつた UML上のアプリケーションプロセスに応じて、適した SIDに置き換えられた上で、アクセス権限判定が行われることになる。

[0205] アクセス権限判定が行われると、アクセス許可もしくは不許可の結果がサブジェクト情報変換モジュールに返ってくることになる力次に、サブジェクト情報変換モジユールは、サブジェクト情報記憶領域 Bに保存されている、 UMLカーネルの実行プロセスのもともとの SIDを、 UML力ーネノレの実行プロセスに戻す。

[0206] これらの処理が終わると、サブジェクト情報変換モジュールは、処理をホスト Linux カーネルに返す。

[0207] ホスト Linuxカーネルでは、 SELinuxでのアクセス権限判定の結果に基づいて、実際のアクセス処理を行う。

[0208] もしアクセス許可の判定であれば、 UMLカーネルからのファイル Aに対するァクセス処理は実行する。

[0209] もしアクセス不許可の判定であれば、アクセス処理は実行されない。

[0210] 次に、本発明の第 3の実施例を、図 7—図 10を参照して説明する。

[0211] 力かる実施例は本発明の第 3の実施の形態に対応するものである。

[0212] 本実施例は第 1の実施例と比較し、 UML内にサブジェクト情報通知手段 105を有し、ホスト Linux上にサブジェクト情報記憶部 C210を有する点で異なる。

[0213] サブジェクト情報通知手段 105は、コンテキストスィッチが起こるごとに、スィッチ後のプロセスのサブジェクト情報をサブジェクト情報記憶部 Cに通知するサブジェクト通知手段モジュールと見なすことができる。

[0214] また、サブジェクト情報記憶部 C210は、主記憶上に確保されたサブジェクト情報記憶領域 Cと見なすことができ、ここにはアプリケーションプロセスの実行プロセスの絶対パスが保存される。

[0215] 以上の構成を用いて、 UML上のアプリケーションプロセスから、 Host Filesyste m経由でホスト Linux上のファイルへの読み込み要求があった場合の動作を説明する。

[0216] まず、 UMLカーネル内でコンテキストスィッチが起こり、アプリケーションプロセスが実行されるとする。

[0217] するとサブジェクト情報通知モジュール力 UMLカーネルの実行プロセスを経由して、サブジェクト情報記憶領域 Cに、アプリケーションプロセスの実行ファイルの絶対パスを保存する。

[0218] 次に、 UML上のアプリケーションプロセス力ファイル Aを読み込むためのシステムコールを発行すると、 UMLカーネルがその情報を、ホスト Linux上の UMLカーネルの実行プロセスに通知する。

[0219] それを受け取った UMLカーネルの実行プロセスは、ファイル Aを読み込むためのシステムコールを、ホスト Linux力一ネルに対して発行し直す。

[0220] これによりホスト Linuxカーネルは、発行されたシステムコールを、 UMLカーネルの実行プロセスがファイルを読み込むためのシステムコールとして解釈する。

[0221] 次に、ホスト Linuxカーネルが読み込み処理を行うことになる力その前にサブジエタト情報取得モジュール力サブジェクト情報記憶領域 Cに問合せ、アプリケーションプロセスの実行ファイルの絶対パスを取得する。

[0222] そして、その絶対パスとサブジェクト情報変換データベース記憶領域に保存されている情報をもとに、サブジェクト情報変換モジュールは、 UMLカーネルの実行プロセスに割り当てるべき SIDを取得する。 [0223] 図 10で示したサブジェクト情報変換データベース記憶領域を用いる場合、アプリケーシヨンプロセスの実行ファイルの絶対パスが ZusrZlocalZbinZapp3であるため、 SIDとして 13を取得する。

[0224] 次に、サブジェクト情報変換モジュールは、もともと UMLカーネルの実行プロセスに割り当てられて!/、た SIDをサブジェクト情報記憶領域 Bに退避させ、取得した SID を UMLカーネルの実行プロセスに付カ卩した上で、 SELinuxにアクセス権限判定を依頼し、 SELinuxが、 UMLカーネルの実行プロセスに割り当てられた SID 13とフアイル Aに割り当てられている SIDをもとにアクセス権限判定を行う。

[0225] これにより、 UMLカーネルの実行プロセスからのシステムコールは、そのシステムコールの元になつた UML上のアプリケーションプロセスに応じて、適した SIDに置き換えられた上で、アクセス権限判定が行われることになる。

[0226] アクセス権限判定が行われると、アクセス許可もしくは不許可の結果がサブジェクト情報変換モジュールに返ってくることになる力次に、サブジェクト情報変換モジユールは、サブジェクト情報記憶領域 Bに保存されている、 UMLカーネルの実行プロセスのもともとの SIDを、 UML力ーネノレの実行プロセスに戻す。

[0227] これらの処理が終わると、サブジェクト情報変換モジュールは、処理をホスト Linux カーネルに返す。

[0228] ホスト Linuxカーネルでは、 SELinuxでのアクセス権限判定の結果に基づいて、実際のアクセス処理を行う。

[0229] もしアクセス許可の判定であれば、 UMLカーネルからのファイル Aに対するァクセス処理は実行する。

[0230] もしアクセス不許可の判定であれば、アクセス処理は実行されない。

[0231] 以上、第 1から第 3の実施例では、情報処理装置としては、パーソナル'コンビユータを使用する場合を想定したが、代わりにワーク'ステーションや PDA、携帯電話などのように、 CPU,主記憶、外部記憶装置を持つ情報処理装置であれば、何を使用しても構わない。

[0232] また、第 1から第 3の実施例では、各記憶部、サブジェクト情報変換データベースを主記憶上に確保することとした力外部記憶装置上に確保しても良い。 [0233] また、第 1から第 3の実施例では、要求元 OS 1として UMLを使用した力代わりに VMwareや Xenなどの仮想マシンの上で動作する OSを使用しても構わない。

[0234] また、第 1から第 3の実施例では、要求先 OSとして Linuxを使用した力代わりに W indows (登録商標）や UNIX (登録商標)系 OSなどのように他の OSからのアクセス要求を受け付けることができる OSであれば、何を使用しても構わな!/、。

[0235] また、第 1から第 3の実施例では、アクセス権限判定プログラムとして SELinuxを使用したが、代わりに LIDSなどのように、 OS上で実行される全てのアクセス要求を制御できるアクセス権限判定手段 207であれば、何を使用しても構わな!/、。

[0236] また、第 1から第 3の実施例では、アプリケーションプロセスのサブジェクト情報として、実行ファイルの絶対パスを使用した力代わりに PIDなどのように、アプリケーションプロセスを一意に区別できる識別子であれば、何を使用しても構わな!/、。

[0237] また、第 1から第 3の実施例では、サブジェクト情報記憶領域 Bには、 SELinuxの SI D (Security ID)を保存することとした力アクセス権限判定システム力サブジェクト情報として使用する識別子を含む情報であれば、何を保存しても力まわな、。

[0238] また、第 1から第 3の実施例では、サブジェクト情報変換データベース 208で、 UM L上のプロセスの実行ファイルのパスと、そのプロセスに割り当てる SIDを保存していたが、代わりに、 UML上のプロセスの PIDと SELinuxの SIDなどのように、要求元 O S1上のプロセスを識別する情報と、そのプロセスに割り当てるアクセス権限判定のための識別子が保存されて、れば、何を保存しても構わな、。

[0239] また、第 1から第 3の実施例では、ホスト OS上にゲスト OSが 1つだけ実行されている構成であるが、複数のゲスト OSが起動して、ても良、。

[0240] また、第 1から第 3の実施例では、 1台の情報処理装置における仮想マシン環境を想定したが、 2台の情報処理装置にそれぞれ要求元 OS、要求先 OSがインストールされ、互いに NFSや Sambaなどの通信プログラムによって、情報処理装置内のコンピュータ資源を相互参照できる環境に適用しても良い。

[0241] その場合、図 1、図 4、図 7のアクセス要求代理手段 202は、通信プログラムのサーバプロセスを意味することになる。

産業上の利用可能性 [0242] 本発明によれば、 1台の情報処理装置に、 1つのホスト OSを実行し、その上に複数のゲスト OSを起動できるような仮想マシン環境におけるアクセス権限判定システムとして利用することができる。

[0243] また、 LAN (Local Area Network)などによって、複数の情報処理装置がネットワーク接続された環境において、それぞれの情報処理装置がその内部のコンビユータ資源を保護するアクセス権限判定システムとして利用することができる。

Claims

請求の範囲

[1] 要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されてヽるサブジェクトの権限に応じて、アクセス権限判定を行うことを特徴とするアクセス権限判定システム。

[2] 前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジェクト情報を問い合わせることを特徴とする請求項 1記載のアクセス権限判定システム。

[3] 前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行するアクセス要求代理手段と、

前記アクセス要求代理手段からのアクセス要求があった時に、前記要求元 OS上で実行され

ているサブジェクトのサブジェクト情報を要求元 OSから取得するサブジェクト情報取得手段と、

前記要求元 OS上で実行されているサブジェクトの種類ごとに、アクセス要求代理手段に割り当てるサブジェクト情報を記述したサブジェクト情報変換データベースと、前記サブジェクト情報取得手段が取得した、前記要求元 OS上で実行されて、るサブジエタトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換するサブジェクト情報変換手段と、

前記サブジェクト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えることを特徴とする請求項 1又は 2記載のアクセス権限判定システム。

[4] 前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 O Sに通知することを特徴とする請求項 1記載のアクセス権限判定システム。

[5] 前記要求元 OSが、サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェクトのサブジェクト情報を追カ卩し、アクセス要求を要求先 OSに通知するアクセス処理手段を備えており、

前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれて、る前記サブジェクトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行するアクセス要求代理手段と、前記アクセス要求代理手段からのアクセス要求があった時に、前記サブジェクト情報記憶部に保存されている、前記要求元 OS上で実行されているサブジェクトのサブジタト情報を取得するサブジェクト情報取得手段と、

前記サブジェクト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えることを特徴とする請求項 1又は 4記載のアクセス権限判定システム。

前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存するサブジェクト情報通知手段を備えており、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行するアクセス要求代理手段と、

前記アクセス要求代理手段からのアクセス要求があった時に、前記サブジェクト情報記憶部に保存されている、前記要求元 OS上で実行されているサブジェクトのサブジタト情報を取得するサブジェクト情報取得手段と、

前記サブジェクト情報変換手段が変換した前記アクセス要求代理手段のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記アクセス要求代理手段がオブジェクトにアクセスする権限があるかどうかを判定するアクセス権限判定手段と、を備えたことを特徴とする請求項 1又は 4記載のアクセス権限判定システム。

[7] 前記要求元 OSと前記要求先 OSを一つの情報処理装置で実行する請求項 1から 6 の！、ずれ力 1項記載のアクセス権限判定システム。

[8] 前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する請求項

1から 6のいずれか 1項記載のアクセス権限判定システム。

[9] 要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されてヽるサブジェクトの権限に応じて、アクセス権限判定を行うことを特徴とするアクセス権限判定方法。

[10] 前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジェクト情報を問い合わせることを特徴する請求項 9記載のアクセス権限判定方法。

[11] 前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 1のステップと、

前記第 1のステップによるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報を要求元 OSから取得する第 2のステップと、前記第 2のステップで取得した前記要求元 OS上で実行されているサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 3のステップと、

前記第 3のステップによって変換された、前記第 1のステップによるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2のステップによるアクセス要求の権限を判定する第 4のステップと、を備えることを特徴とする請求項 9又は 10記載のアクセス権限判定方法。

[12] 前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 O

Sに通知することを特徴とする請求項 9記載のアクセス権限判定方法。

[13] 前記要求元 OSが、

サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェタトのサブジェクト情報を追加し、アクセス要求を要求先 OSに通知する第 1のステツプと、

前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれて、る前記サブジェクトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行する第 2のステップと、

前記第 2のステップによるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部から取得する第 3のステップと、

前記第 3のステップで取得した前記要求元 OS上で実行されているサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4のステップと、

前記第 4のステップによって変換された、前記第 2のステップによるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2のステップによるアクセス要求の権限を判定する第 5のステップと、を備えることを特徴とする請求項 9又は 12記載のアクセス権限判定方法。

[14] 前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存する第 1のステップと、前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 2のステップと、前記第 2のステップによるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報をサブジェクト情報記憶部から取得する第 3のステップと、前記第 3のステップで取得した前記要求元 OS上で実行されているサブジェクトのサブジェクト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4のステップと、

[15] 前記要求元 OSと前記要求先 OSを 1つの情報処理装置で実行する請求項 9から 14 の!、ずれか 1項記載のアクセス権限判定方法。

[16] 前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する請求項 9から 14のいずれか 1項記載のアクセス権限判定方法。

[17] 要求元 OS上のアクセス主体であるサブジェクトが、要求先 OS上のアクセス対象であるオブジェクトへアクセス要求を出す時に、前記要求先 OS上で、前記要求元 OS上で実行されて、るサブジェクトの権限に応じて、アクセス権限処理を行うことを特徴とするアクセス権限判定プログラム。

[18] 前記要求先 OSが、前記要求元 OSに前記サブジェクトのサブジェクト情報を問い合わせることを特徴する請求項 17記載のアクセス権限判定プログラム。

[19] 前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 1の処理と、

前記第 1の処理によるアクセス要求があった時に、前記要求元 OS上で実行されているサブジェクトのサブジェクト情報を要求元 OSから取得する第 2の処理と、前記第 2の処理で取得した前記要求元 OS上で実行されているサブジェクトのサブジェタト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 3の処理と、

前記第 3の処理によって変換された、前記第 1の処理によるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2 の処理によるアクセス要求の権限を判定する第 4の処理と、を備えることを特徴とする請求項 17又は 18記載のアクセス権限判定プログラム。 [20] 前記要求元 OSが、アクセス要求元サブジェクトのサブジェクト情報を、前記要求先 O

Sに通知することを特徴とする請求項 17記載のアクセス権限判定プログラム。

[21] 前記要求元 OSが、サブジェクトからのアクセス要求を受け付けると、アクセス要求の中に要求元サブジェクトのサブジェクト情報を追カ卩し、アクセス要求を要求先 OSに通知する第 1の処理と、

前記要求先 OSが、前記要求元 OSからのアクセス要求を受け付けると、その中に含まれて、る前記サブジェクトのサブジェクト情報を、サブジェクト情報記憶部に保存し、次にアクセス要求を要求元 OS上で代理実行する第 2の処理と、前記第 2の処理によるアクセス要求があった時に、前記要求元 OS上で実行されて、るサブジェクトのサブジェクト情報をサブジェクト情報記憶部力取得する第 3の処理と、

前記第 3の処理で取得した前記要求元 OS上で実行されているサブジェクトのサブジェタト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4の処理と、

前記第 4の処理によって変換された、前記第 2の処理によるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2 の処理によるアクセス要求の権限を判定する第 5の処理と、を備えることを特徴とする請求項 17又は 20記載のアクセス権限判定プログラム。

[22] 前記要求元 OSが、前記要求元 OS内で実行サブジェクトの切り替え作業が起こるたびに、切り替え後に実行されるサブジェクトのサブジェクト情報を、前記要求先 OS上のサブジェクト情報記憶部に保存する第 1の処理と、

前記要求先 OSが、前記要求元 OSからのアクセス要求を、要求元 OS上で代理実行する第 2の処理と、

前記第 2の処理によるアクセス要求があった時に、前記要求元 OS上で実行されて V、るサブジェクトのサブジェクト

情報をサブジェクト情報記憶部から取得する第 3の処理と、

前記第 3の処理で取得した前記要求元 OS上で実行されているサブジェクトのサブジェタト情報と、前記サブジェクト情報変換データベースを照合し、アクセス要求代理手段に割り当てるサブジェクト情報を変換する第 4の処理と、前記第 4の処理によって変換された、前記第 2の処理によるアクセス要求のサブジェクト情報と、そのアクセス対象のオブジェクトのオブジェクト情報をもとに、前記第 2 の処理によるアクセス要求の権限を判定する第 5の処理と、を備えることを特徴とする請求項 17又は 20記載のアクセス権限判定プログラム。

[23] 前記要求元 OSと前記要求先 OSを 1つの情報処理装置で実行する請求項 17から 2 2のいずれ力 1項記載のアクセス権限判定プログラム。

[24] 前記要求元 OSと前記要求先 OSをそれぞれ異なる情報処理装置で実行する請求項 17から 22のいずれ力 1項記載のアクセス権限判定プログラム。